Agenda & Takeaway
•Active Directory ドメイン 設計に要求される変化
• オンプレミス における AD DS と AD FS の役割
• AD DS/AD FS と Windows Azure Active Directory の連携
• パブリッククラウドにおける
Windows Azure Active Directory の役割
デモンストレーションを交えながらお伝えします!
2
3.
マイクロソフトの IdP プラットフォーム全体像
Consumer
MicrosoftAccount
(Windows Live ID)
Enterprise
Windows Azure
Active Directory
Windows Server
Active Directory
FIM
Windows 8
Microsoft
全製品
他社 IdP
Microsoft
全 OS
HR
3
4.
Windows Azure ActiveDirectory
definitely
not !
Windows Server Active Directory
(on premise / on Azure IaaS)
4
5.
典型的な Active Directoryの使い方
企業や組織に閉じた利用
Active Directory ドメイン
AD CS
AD RMS
証明書発行
データ暗号化
ファイルサーバ
アクセス制御
Windows
クライアント
ID/Pass で Sign-in
グループポリシーによる統制
アカウント管理
AD DS
ア
ク
セ
ス
制
御
メールサーバー
WEB サーバー
DB サーバー
5
6.
Active Directory にまつわる最新2大ニーズ
•パブリッククラウドとの連携
• 個人デバイスの業務利用(BYOD)
• マルチファクター認証/認可
ドメインを超えた利用
認証と認可の精度向上
最終的にはパブリッククラウド上でIDを管理したい=IDMaaS
office365
Web
Service
Web Service
Salesforce.com
Web
Service
Web
Service
Web Service
Web Service
Facebook.com
Web Service
Google.com
Outlook.com
Active Directory ドメイン
• 多要素認証/認可
6
7.
Azure AD とAD FS が次世代 Id 基盤のカギとなる
ドメインを超えた利用(ハイブリッドな認証基盤)
office365
Active Directory ドメイン
Active Directory
Web Service
Salesforce.com
Web
Service
Web Service
Web
Service
AD DS
Google.com
AD FS
認証と認可の精度向上
個人デバイス
(ドメイン非参加デバイス)
Active Directory ドメイン
追加認証
メソッド
AD DS
Active Directory
AD FS
7
AD DS とAD FS が蜜月な件
AD DS :ユーザーとデバイスを「認証」
AD FS :認証されたユーザーとデバイスの“クレーム”を含んだ「トークンを発行」
認可②
ユーザー権限
認可①
アクセス可否
クレーム発行
クレームを受信
CONTOSO
認証したかどうか
AD FS
認証:
ユーザー特定
AD DS : Active Directory Domain Service
AD FS : Active Directory Federation Service
9
Firewall 外からのリクエストを受け入れるには
Web ApplicationProxy(Windows Server 2012 R2)を使用する
CONTOSO
クレームを
受信
HTTPS
HTTPS
AD FS
認証したかどうか
クレーム受信
AD FS PROXY
HTTPS
AD FS PROXY
HTTPS
HTTPS
クレーム
発行
クレーム発行
AD FS
NORTHWIND
認証したかどうか
AD DS
12
BYOD にも PhoneFactor が利用できる
AD FS を通過する認証/認可プロセス すべてに適用可能
AD FS
Web
Application
アクセス
Proxy
クレーム処理エンジン
デバイス認証
https
Start
事前認証
事前認証
プロセス
AD DS
Start
デバイス クレーム
ユーザー認証
ユーザー クレーム
Phone Factor
アクセス可否を判定
31
32.
AD FS を介したMFA の流れ
MFA のターゲットを限定することが可能
無効
無効
有効
デバイス認証
Active Directory にデバイ
スが登録されているかどう
かを確認する
有効
プライマリ認証
(ユーザー認証)
•
•
•
Form 認証
Windows 統合
証明書
YES
マルチファクター認証
<条件>
• ユーザー/グループ
• 登録/非登録デバイス
• 外部/内部ネットワーク
NG
OK
NG
NO
認証
完了
OK
<認証方式>
• Smart Card
• Phone Factor
• その他
OK
NG
32